كشفت خرق بيانات Kimsuky عن أهداف الحكومة الكورية الجنوبية

تقارير تشير إلى أن مجموعة كيمسوكي الكورية الشمالية الراعية للقرصنة، قد تعرضت لخرق بيانات كبير.

اثنين من القراصنة يطلقون على أنفسهم ‘سابر’ و ‘سايبورغ’ قاموا بسرقة وتسريب بيانات كيمسوكي الداخلية بشكل علني، متهمين المجموعة بالدوافع السياسية والجشع، كما أفاد أولا BleepingComputer (BC).

“كيمسوكي، أنت لست هاكر. أنت مدفوع بالجشع المالي، لإثراء قادتك، ولتحقيق أجندتهم السياسية،” كتب الهاكرز في رسالة نشرت في العدد الأخير من Phrack، كما لوحظ من قبل BC.

“أنت تسرق من الآخرين وتفضل الخاص بك. تقدر نفسك فوق الآخرين: أنت محرف أخلاقياً،” تقرأ الرسالة.

تظهر البيانات المسربة، والتي تبلغ حجمها 8.9 جيجابايت والمستضافة على موقع Distributed Denial of Secrets، أدوات Kimsuky وبعض المعلومات المسروقة التي قد تكشف عن حملات اختراق غير معروفة.

تقارير BC تفيد بأن البيانات تشمل سجلات الاصطياد الوهمي (phishing) التي تستهدف نطاقات حكومة كوريا الجنوبية مثل dcc.mil.kr (وحدة الاستخبارات العسكرية للدفاع )، spo.go.kr، و korea.kr، بالإضافة إلى المنصات الشهيرة مثل daum.net، kakao.com، و naver.com.

كما يتضمن التسريب الكود المصدري الكامل لنظام البريد الإلكتروني لوزارة الخارجية الكورية الجنوبية “كيبي”، بالإضافة إلى قوائم أساتذة الجامعات وشهادات المواطنين، كما لاحظت BC.

الأدوات التي تم الكشف عنها تتضمن مولدات مواقع التصيد الإلكتروني مع حيل التهرب، وأطقم التصيد الإلكتروني المباشر، وملفات ثنائية مجهولة، وأدوات القرصنة مثل محملات Cobalt Strike والأصداف العكسية.

بالإضافة إلى ذلك، تقول BC أن النفايات تكشف عن تاريخ تصفح Chrome المرتبط بحسابات GitHub المشبوهة، وشراء VPN، ومنتديات القرصنة. هناك علامات لنشاط مرتبط بمواقع الحكومة والجيش التايوانية واتصالات SSH الداخلية.

بينما كان بعض هذه التفاصيل معروفة سابقاً، الثغرة تربط أدوات Kimsuky وعملياتها بطرق جديدة، مكشفة بشكل فعال عن بنيتها التحتية. يقول خبراء الأمن إن الخرق قد يسبب اضطرابات قصيرة الأمد ولكنه غير مرجح أن يتوقف عن أنشطة Kimsuky طويلة الأمد.

تقول BC إنها تحاول الوصول إلى باحثين في مجال الأمن للتحقق من صحة التسريب وستقوم بتحديث المعلومات حسب توفرها.